plano de governança de ti

UNIVERSIDADE FEDERAL FLUMINENSE SUPERINTENDÊNCIA DE TECNOLOGIA DA INFORMAÇÃO

Comissão de Governança e Segurança da Informação

1

Plano de Governança de Tecnologia de Informação

Julho/2012 – Junho/2014



2

Universidade Federal Fluminense

Superintendência de Tecnologia da Informação

Fernando Cesar Cunha Gonçalves Superintendência de Tecnologia da Informação Henrique Oswaldo Uzêda Pereira de Souza Comissão de Governança e Segurança da Informação Lucio Oswaldo Ferreira Comissão de Governança e Segurança da Informação Glória Maria de Paula Oliveira Damasceno Comissão de Governança e Segurança da Informação Hélcio de Almeida Rocha Coordenação de Desenvolvimento de Novas Tecnologias Leonardo Moraes Rizzo Coordenação Técnica Thiago de Souza Diogo Coordenação de Desenvolvimento de Sistemas



3

Histórico de versões

Data Versão Descrição Autor

Julho 2012 1.0 Escopo e definição do Plano de Ação GTI



4

Sumário

1. Introdução...................................................................................5

2. Escopo ........................................................................................5

3. Missão da Governança de TI ...........................................................5

4. Objetivos da Governança de TI .......................................................6

5. Fatores Motivadores da Governança de TI.........................................6

6. Benefícios da Governança de TI ......................................................7

7. Componentes do Modelo de Governança de TI ..................................8

8. Plano de ações ...........................................................................13

9. Referências sobre Governança de TI ..............................................16



5

1 – INTRODUÇÃO Governança é o ato de governar (-se). A governança de TI provém da governança corporativa, e passou a ter destaque depois dos escândalos financeiros de diversas empresas, em meados de 2002. Um dos grandes desafios atuais da administração pública é melhorar a governança em tecnologia da informação e atender às recomendações da Instrução Normativa 04/2010, orientações do TCU e outras recomendações do Governo Federal. Para isso, o caminho mais seguro e eficiente é seguir essas recomendações de boas práticas. Neste contexto, podemos afirmar que a Governança de TI (GTI) é o verdadeiro motor das organizações modernas, e pode impulsioná-las para ajudar a criar uma administração transparente, voltada para o benefício do cidadão e a racionalização dos recursos. A partir deste plano espera-se que seja possível estabelecer um processo para a melhoria contínua da qualidade dos serviços de TIC e das percepções interna e externa no uso dos recursos computacionais providos pela Universidade à sua comunidade. Este plano apresenta o escopo, a missão da governança para a STI, os principais frameworks que servem de base para modelos de governança e as competências únicas relativas ao tema. Por último é apresentado um plano de ações para a governança da STI. 2 – ESCOPO O escopo deste planejamento estratégico é definir ações para o desenvolvimento de melhores práticas visando o aprimoramento e ampliação dos processos existentes para Governança de Tecnologia da Informação, no âmbito da Superintendência de Tecnologia da Informação (STI). O principal papel da governança é assegurar que as ações de TI estejam alinhadas aos objetivos do negócio da Universidade Federal Fluminense, agregando-lhe valor. Para isso, é preciso orientar e priorizar as atividades de TI de forma a justificar os recursos aplicados em TI, garantindo assim, o controle e o retorno dos investimentos com melhorias do serviço prestado a comunidade universitária e a sociedade. As boas práticas de governança de TI aplicadas na Universidade Federal Fluminense promovem a proteção das informações críticas e contribui para que a universidade atinja seus objetivos de forma transparente. Assim sendo, estaremos nos adequando a Lei nº 15.527/2011, e as recomendações dos órgãos reguladores do Governo Federal. 3 – A MISSÃO DA GOVERNANÇA DE TI “Promover a adoção de um modelo de Governança de TIC que possibilite a integração dos processos de gerenciamento de serviços de TIC na Universidade Fluminense, elevando seus níveis de maturidade e tornando-a uma referência nesta área.”



6

4 – OBJETIVOS DA GOVERNANÇA DE TI NA STI O desenvolvimento deste plano foi baseado nos seguintes objetivos de governança:

• Alinhamento estratégico de TIC com a missão da Universidade.

• Criação e preservação do valor de TIC para o negócio.

• Definição de papéis e responsabilidades na gestão de TIC.

• Mais transparência e melhoria na comunicação das decisões relacionadas a TIC.

• Melhoria contínua da qualidade no gerenciamento dos serviços de TIC prestados na Universidade.

5 – FATORES MOTIVADORES DA GOVERNANÇA DE TI A Governança de TI é motivada por vários fatores (embora o senso comum considere a transparência como sendo o principal motivador desse movimento nos ambientes de TI), como podemos observar na figura 1:

Figura 1 – Fatores motivadores da Governança de TI

• Ambiente de Negócio – Clientes mais exigentes; exigências de maior transparência;

ciclos de vida, cada vez mais curtos.

Dependência do

Negócio em relação a TI

TI como Prestadora

de Serviços

Ambiente de

Negócios Integração

Tecnológica

Marcos de

Regulação

Segurança da

Informação

Segurança da

Informação Governança de TI



7

• TI como Prestadora de Serviços – Projetos dentro dos prazos, atendimento aos

requisitos do negócio, disponibilidades das aplicações, tudo requer postura e organização orientada a prestação do serviço.

• Integração Tecnológica – Integração de redes de distribuição, tanto em termos de

aplicativos como da infraestrutura de comunicação de dados e voz; • Segurança da Informação – No mundo interligado da Internet, a gestão de TI também ficou

mais complexa e a infraestrutura de TI sofre riscos diários; • Dependência do Negócio – As operações diárias e as estratégias corporativas do negócio

tornam cada vez maior a dependência em relação a TI; • Marcos de Regulação – Representa restrições ao negócio, em função das diversas

regulamentações do governo federal (IN 04, IN01, IN02, 8666, DEC-LEI 200).

6 – BENEFÍCIOS DA GOVERNANÇA DE TI Com a ajuda da tecnologia da informação, a administração pública ganha ferramentas que facilitam o planejamento financeiro e colaboram para uma gestão integrada e responsável dos recursos, melhoria dos processos e maior transparência. A transparência pode ser um grande incentivador de investimentos e um elemento a mais para os gestores ganharem a confiança da comunidade universitária. Citamos, abaixo, os principais benefícios da boa governança em TI:

Modernização Estruturar e planejar a área de TI para os desafios do presente e do futuro.

Organização

Melhor gerenciamento dos processos.

Gestão Impulsionar uma nova cultura na administração pública com uso das melhores práticas mundiais.

Capacitação

Melhor gestão de recursos técnicos e humanos.

Conhecimento Maior compartilhamento de informações, e criação de uma base de conhecimento na Universidade.

Segurança

Maior segurança das informações, de dados e ativos.

Eficiência Resultados atingem as metas definidas.



8

Transparência Maior transparência nos processos administrados pela STI.

Conformidade

Atender as normas oficiais, seguindo as orientações técnicas que subsidiam o planejamento estratégico e a gestão dos processos.

7 – COMPONENTES DA GOVERNANÇA DE TI A governança de TI possui diversas áreas de atuação de forma a garantir o alinhamento com a estratégia de negócio da instituição. A figura abaixo mostra os principais componentes da GTI e lista alguns modelos, ferramentas e/ou boas práticas que podem ser utilizados para cada assunto.

Figura 2 – Visão Geral da Governança de TI (Figura adaptada com base no curso da Universidade Federal de Lavras) Com base nestes conceitos, a equipe de governança da STI irá no decorrer do período deste plano, definir um modelo de governança específico para a TI da universidade. Deverão ser escolhidos os principais modelos e ferramentas a serem adotados bem como a documentação



9

necessária. Dentro deste contexto, serão definidas as responsabilidades, normas e planos de adequação, para os diversos componentes da governança. Assim sendo, teremos um melhor alinhamento baseado no foco do negócio.

Uma visão clara para os executivos sobre o que TI faz; Uma clara divisão das responsabilidades baseada na orientação para processos; Aceitação geral por terceiros e órgãos reguladores; Entendimento compreendido entre todas as partes interessadas, baseado em uma

linguagem comum. 8 – A NECESSIDADE DE UM MODELO DE GOVERNANÇA DE TI Cada vez mais a Alta Direção da Universidade está percebendo o significativo impacto que a informação tem no sucesso da organização. Os executivos esperam um alto entendimento sobre a forma como a TI funciona e o quanto ela está sendo bem administrada para atingir as metas de suas unidades. Em particular, os dirigentes da UFF precisam saber se as informações estão sendo bem gerenciadas pela STI de modo a:

Possivelmente atingir os objetivos organizacionais. Ser proativo o suficiente para aprender e se adaptar. Gerenciar adequadamente os riscos encontrados. Apropriadamente reconhecer as oportunidades e agir sobre elas.

Como foi visto na seção anterior, existem diversos modelos e ferramentas para governança de TI. Dentre eles, os padrões mais amplamente aceitos são COBIT, ITIL e PMBOK. Eles são mundialmente reconhecidos como guias das melhores práticas, utilizados para auditoria de sistemas, consultoria de TI e aplicáveis a processos de certificação. Apesar de não termos ainda um modelo de Governança especificado para a STI, iniciaremos as nossas ações, norteados por estes principais padrões. A seguir, serão descritos brevemente cada um deles. 8.1 COBIT COBIT (Control Objectives for Information and related Technology) é um guia de boas práticas apresentado como framework para a gestão de TI. Mantido pelo ISACA (Information Systems Audit and Control Association), ele possui uma série de recursos que podem servir como um modelo de referência para governança da TI. O modelo COBIT é genérico o bastante para representar todos os processos normalmente encontrados nas funções de TI. Ele cria uma ponte entre o que o pessoal operacional precisa executar e a visão que os executivos desejam ter para governar. Para o COBIT, os pilares fundamentais que sustentam o núcleo da Governança de TI podem ser representados por cinco áreas, cada qual com seu respectivo foco:



10

Figura 3 – Áreas-Foco da Governança de TI, segundo o IT Governance Institute

• Alinhamento Estratégico – Garantia da ligação entre os planos do negócio e de TI. • Agregação de Valor – Otimizar os custos e comprovar o valor intrínseco da TI. • Gerenciamento de Riscos – Conhecimentos dos riscos por parte da alta direção,

transparência acerca dos riscos significativos. • Medição de Desempenho – Acompanhamento e monitoração da implementação da

estratégia. • Gerenciamento de Recursos – Otimização dos investimentos e gestão adequada dos

recursos críticos. O COBIT cobre quatro domínios que estão ligados aos processos da organização:

Planejamento e Organização; Aquisição e Implementação; Prestação e Suporte; Monitoramento e Avaliação.

Cada domínio está subdivido em processos que por sua vez possuem objetivos de controle relacionados. O Cobit auxilia os gerentes e auditores a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementação de novas práticas, se necessário.



11

Figura 4 – Os quatro domínios do Cobit (Fonte: www.efagundes.com/artigos/cobit)

8.2 ITIL ITIL (IT Infraestructure Library) é a abordagem mais largamente adotada no mundo para gerenciamento de serviços de TI. Ele provê um framework que descreve as melhores práticas para planejar, projetar, entregar e suportar serviços de TI, tendo como foco a medição contínua e melhoria da qualidade do serviço prestado. A primeira versão do ITIL foi publicada pela CCTA (Central Communications and Telecommunications Agency) entre 1989 e 1995 e atualmente está sob custódia da OGC (Office for Government Commerce) da Inglaterra. A ITIL defende que, através de recursos e capacidades na gestão, a TI, bem como a sua gestão de serviços, não será mais vista como um mero detalhe operacional, mas sim de uma forma diferenciada de prestador de serviços. A entrega dos serviços de TI aos usuários tem de ser geridos como qualquer serviço do negócio, com atenção aos objetivos da empresa, riscos, níveis de serviço e, fundamentalmente, têm de ser altamente adaptáveis, de forma que a TI possa responder rapidamente as necessidades do negócio. A ITIL é composto por cinco livros que cobrem cada estágio do ciclo de vida do serviço, conforme o especificado abaixo: Estratégia de Serviço: Orienta sobre como as políticas e processos de gerenciamento de serviços podem ser desenhadas;



12

Desenho de Serviço: Fornece orientação para o desenho e desenvolvimento dos serviços e dos processos de gerenciamento de serviços; Transição de Serviços: Orienta sobre como efetivar a transição de serviços novos e modificá-los para operações implementadas; Operação de Serviços: Define a fase do ciclo que é responsável pelas atividades do dia a dia, orientando sobre como garantir a entrega e o suporte a serviços de forma eficiente; Melhoria de Serviço Continuada: Orienta, através de princípios, práticas e métodos de gerenciamento da qualidade, nas metas de eficiência operacional, na continuidade dos serviços, etc., com base no modelo PDCA.

Figura 5 – ITIL (Fonte: http://mcasabona.wordpress.com)

8.3 PMBOK O PMBOK (Project Management Body of Knowledge) é um conjunto de boas práticas e constitui uma base de conhecimento em gestão de projetos publicado pelo PMI (Project Management Institute). As nove áreas de conhecimento do PMBOK caracterizam os principais aspectos envolvidos em um projeto e no seu gerenciamento: Integração, Escopo, Tempo, Custos, Qualidade, Recursos Humanos, Comunicações, Riscos e Aquisições.



13

Figura 6 – Áreas de Conhecimento do PMBOK (Fonte: Márcio d'Ávila 2010)

Para padronizar os processos de gerenciamento de projetos na organização existe o PMO (Project Management Office). Este é um grupo que define e mantém uma metodologia (documentação, guias e métricas) a ser utilizada em todos os projetos. O PMO pode também fazer treinamentos, auditorias dos projetos, relatórios consolidados de status dos projetos e gerenciamento de portfólio. A forma considerada mais eficaz de compartilhar práticas e processos padronizados é ter todos os especialistas em uma equipe única e centralizada. Esta é a forma mais eficaz de usar os recursos e as habilidades dos gerentes de projetos para toda a empresa. Assim, os gerentes de projetos podem ser posicionados para se concentrar na melhoria contínua, sem distrações ou dúvidas sobre responsabilidades. Esse modelo pode permitir que as técnicas e outras habilidades de um gerente de projeto possam ser usadas nas várias unidades de forma mais eficaz. As boas práticas do PMBOK já estão sendo adotadas na STI bem como já existe um PMO voltado para os projetos de desenvolvimento de sistemas. Estes conceitos deverão ser divulgados e incentivados, desenvolvendo uma maior cultura de projetos e melhorias na metodologia existente. 9 – PLANO DE AÇÕES As etapas envolvidas na implantação de um processo de governança são problemáticas e envolvem a definição de controles em diversos níveis. Apenas os controles, contudo, não garantem resultados. É preciso garantir o comprometimento dos envolvidos e, em muitos casos, promover uma mudança na cultura da organização. Desta forma, será definido um plano de ações para aumentar gradualmente o nível de maturidade da governança de TI na universidade. O Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) serviu de balizamento



14

para a definição e priorização, pela equipe de Governança de TI, do plano de ações. De acordo com a situação atual e tendo em vista a exequibilidade do planejamento, as ações foram categorizadas em “prioritárias” e “desejáveis”. As ações prioritárias serão aquelas que demandarão maior esforço para sua execução dentro do cronograma previsto para este planejamento estratégico, e dependem do aval da alta administração da UFF. As ações desejáveis são aquelas que, havendo recursos, serão implementadas dentro do cronograma previsto. Caso não seja possível a sua implementação, as ações desejáveis serão traduzidas em recomendações que nortearão o desenvolvimento e continuidade deste planejamento em futura gestão. Como este plano abrange um período de dois anos, a cada ano serão selecionadas as ações que serão executadas. Estas informações serão descritas e acompanhadas através da planilha “Demandas de serviços de Governança de TI”. Segue o detalhamento das ações previstas para o desenvolvimento deste plano: 9.1 AÇÕES PRIORITÁRIAS: AP01 – Mapear os processos existentes associados aos serviços de TIC prestados, identificando aqueles passíveis de gerenciamento e cujas boas práticas poderão ser replicadas. AP02 – Efetuar levantamento das boas práticas existentes para o gerenciamento de serviços na STI. AP03 – Avaliar o nível de maturidade dos processos de gerenciamento de serviços na STI e compatibilizar com as melhores práticas. AP04 – Avaliar as ferramentas existentes no mercado (incluindo ferramentas free) e desenvolver modelos de gerenciamento que possam auxiliar os gestores de TIC e melhorar a qualidade dos serviços prestados. AP05 – Definir indicadores para os processos existentes para promover a melhoria contínua dos serviços e o alcance de metas (verificar objetivos de controle do COBIT, ITIL, ISO 20000, ISO 27001/27002, BSC, CMMi, MPS.BR). Permitir a identificação do nível de maturidade dos processos hoje existentes e estimular a definição de comportamentos desejáveis dos serviços de TIC. A definição de indicadores e avaliações periódicas permitirão validar o melhoramento contínuo da qualidade dos serviços oferecidos à comunidade; A existência de indicadores ajudará na monitoria da qualidade das decisões tomadas. AP06 – Propor a integração dos processos de gerenciamento de serviços e do uso de ferramentas com base nas melhores práticas. Propor modelos de gerenciamento de serviços com base nos processos mapeados, nas boas



15

práticas identificadas, nos softwares analisados e nos indicadores extraídos dos principais modelos de gerenciamento. AP07 – Promover a capacitação em “melhores práticas” para a STI, de acordo com a uniformização proposta para o gerenciamento de serviços. Capacitar e motivar os gestores para a compreensão e adoção de “melhores práticas” para gerenciamento de serviços de TIC. AP08 – Promover a capacitação em ferramentas de gerenciamento para a STI (monitoração, gerenciamento de redes, gerenciamento de serviços), de acordo com a integração. Após a avaliação das ferramentas em uso nas unidades e, ainda, de novas ferramentas que possam ser utilizadas, promover a capacitação da equipe técnica das unidades motivando a sua adoção. Sempre que possível, aproveitar a experiência dos especialistas locais para a capacitação e replicação de conhecimentos. AP09 – Identificar serviços críticos para os usuários e definir acordos de nível de serviço (ANS). Uma vez estabelecido um bom nível de maturidade nos processos de gerenciamento de serviços de TIC, com a definição de indicadores precisos, será possível mapear os serviços críticos e definir acordos de nível de serviço (ANS) com os clientes. AP10 – Especificar um modelo de Governança de TIC para a UFF 9.2 AÇÕES DESEJÁVEIS: AD01 – Melhorar o processo de comunicação com as Unidades Universitárias – incluindo uma estratégia de endomarketing (para promover a transparência e melhorar a comunicação). Ampliar os métodos de comunicação com a comunidade, trabalhando de forma preventiva em relação à ocorrência de falhas e criando uma imagem positiva acerca do trabalho que está sendo realizado. AD02 – Melhorar o relacionamento com os clientes dos serviços de TIC por meio de estratégias de CRM. Definir processos para a melhoria da comunicação com os usuários de TIC facilitando o encaminhamento de críticas e sugestões. Estabelecer procedimentos para o tratamento das críticas e sugestões recebidas. AD03 – Selecionar / Adquirir ferramentas para suporte à Governança de TIC na UFF (ex: GEPLANES, REDMINE, BIZAGI). Identificar e adquirir ferramentas que ofereçam suporte ao framework de governança definido para a UFF.



16

AD04 – Estruturar serviços para a obtenção da ISO 20000; A certificação ISO 20000 permite verificar se uma organização emprega as melhores práticas de gerenciamento de serviços de TIC, conforme demonstrado por uma avaliação independente e externa, baseada em norma internacional oficial, realizada por uma organização de auditoria autorizada. Este nível de validação resultará na garantia aos usuários de que o ambiente de TIC está sendo bem gerido de acordo com as “melhores práticas” de um padrão internacional, e que vem sendo promovida uma cultura de melhoramento contínuo da qualidade no âmbito do gerenciamento de serviços de TIC. 10 – REFERÊNCIAS SOBRE GOVERNANÇA DE TI Sites: http://www.isaca.org/ http://www.itil-officialsite.com/ http://www.pmi.org/ http://www.sei.cmu.edu/cmmi/ Normas e padrões: Associação para Promoção da Excelência do Software Brasileiro - SOFTEX. MPS.BR – Guia de Avaliação:2009. Campinas-SP: SOFTEX, Mai 2009a. Disponível em: http://www.softex.br/mpsbr/_guias/guias/MPSBR_Guia_de_Avaliacao_2009.pdf . BRASIL. Associação Brasileira de Normas Técnicas - ABNT. ABNT NBR ISO/IEC 27001:2006 - Tecnologia da Informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos p.2 e 3. Confidencialidade – propriedade. BRASIL. Associação Brasileira de Normas Técnicas - ABNT. ABNT NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. BRASIL. Associação Brasileira de Normas Técnicas - ABNT. ABNT NBR ISO/IEC 38500:2009 – Governança corporativa de tecnologia da informação. BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia da Informação. Guia de boas práticas para contratação de TI – SLTI / MPOG. Brasília: 2011. BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia da Informação. Sistema de Administração de Recursos de Informação e Informática. Estratégia Geral de Tecnologia da Informação 2011-2012. BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia da Informação. Instrução normativa nº 01, de 19 de janeiro de 2010. Dispõe sobre os critérios de sustentabilidade ambiental na aquisição de bens, contratação de serviços ou obras pela Administração Pública Federal direta, autárquica e fundacional. BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia



17

da Informação. Portaria nº 02, de 16 de março de 2010. Dispõe sobre as especificações padrão de bens de Tecnologia da Informação no âmbito da Administração Pública Federal direta, autárquica e fundacional. BRASIL. Ministério do Planejamento, Orçamento e Gestão. Secretaria de Logística e Tecnologia da Informação. Instrução normativa nº 4, de 12 de novembro de 2010. Dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) da Administração Pública Federal. BRASIL. Lei n° 8.666, de 21 de junho de 1993. Regulamenta o art. 37, inciso XXI, da Constituição Federal, institui normas para licitações e contratos da Administração Pública e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/Leis/L8666cons.htm. INFORMATION TECHNOLOGY GOVERNANCE INSTITUTE - ITGI. COBIT - Control Objectives for Information and related Technology. COBIT 4.1. Sumário Executivo TCU. Acesso em www.tcu.gov.br/fiscalizacaoti. Livros: FERNANDES e ABREU. Implantando a Governança de TI: da estratégia a gestão de processos e serviços. Brasport, 2009. FREITAS, Marcos André dos Santos. Fundamentos do Gerenciamento de Serviços de TI. Brasport, 2010. WEILL e ROSS. Governança de TI. São Paulo: M.Boosks, 2006. WEILL e ROSS. Conhecimento em TI. São Paulo: M.Boosks, 2010. TERRIBILI, Armando. Gerenciamento de Projetos em Sete Passos. São Paulo: M.Boosks, 2010.

plano de governança de ti

Documents